Wir hatten kürzlich darüber berichtet, dass die von Aufsichtsbehörden verhängten Bußgelder wegen Datenschutzverstößen tendenziell steigen. Zur Wahrheit gehört jedoch auch, dass die extrem hohen Strafen, welche dann auch in der Medienberichterstattung landen, meist Tech-Giganten wie Google, Meta (Facebook) oder Amazon treffen. In unserer Beratungspraxis fragen Mandanten oft nach einer individuellen Risikoeinschätzung: Wie hoch könnte ein Bußgeld für einen ganz konkreten Verstoß ausfallen? Diese Frage lässt sich jedoch kaum seriös beantworten, hängt die Bemessung der Strafe doch von zu vielen verschiedenen Faktoren hat. Einen “Bußgeldkatalog” wie beim “Zu-schnell-Fahren” gibt es nicht. Wir möchten dennoch versuchen, anhand von einigen Bußgeldern, die von den deutschen Behörden verhängt wurden, das Spektrum aufzuzeigen.
Insgesamt wurden in Deutschland seit Geltung der DSGVO 329 Bußgelder verhängt. Europaweit sind es 2.427 solcher Strafen. Ein Großteil der in Deutschland verhängten Bußgelder betrifft Fälle unerlaubter Telefonwerbung (insbesondere durch Energieversorger und Telekommunikationsanbieter). Hierfür wurden Bußgelder zwischen 5.000,00 und 300.000,00 Euro verhängt, was die Bandbreite verdeutlicht. Erschreckend viele Bußgelder mussten gegen Polizistinnen und Polizisten wegen unberechtigter Datenbankabfragen verhängt werden.
- H&M Hennes & Mauritz Online Shop A.B. & Co. KG
35.258.708,00 Euro
DSGVO – Verstoß: Erfassung privater Informationen hunderter Mitarbeiter (“Bespitzelung”)
10.400.000,00 Euro
DSGVO – Verstoß: Unrechtmäßige Videoüberwachung von Mitarbeitern und Kunden über mindestens zwei Jahre
1.900.000,00 Euro
DSGVO – Verstoß: Verarbeitung sensibler Daten von Mietinteressenten (z.B. Körpergeruch, Frisur) ohne Rechtsgrundlage
1.240.00,00 Euro
DSGVO – Verstoß: Nutzung der Daten von 500 Gewinnspielteilnehmern zu Werbezwecken ohne Rechtsgrundlage (hier: Einwilligung)
900.000,00 Euro
DSGVO – Verstoß: Auswertung von Kundendaten ohne Rechtsgrundlage
- Unbekannt (produzierendes Gewerbe)
400.000,00 Euro
DSGVO – Verstoß: Aufzeichnung von Kundenanrufen ohne Einwilligung
- Verschiedene Energieanbieter
5.000,00 bis 300.000,00 Euro
DSGVO – Verstoß: Telefonwerbung
- Delivery Hero Germany GmbH
195.407,00 Euro
DSGVO – Verstoß: Mehrere Verstöße, u.a. keine Löschung ehemaliger Kundendaten, unterwünschte Werbe-E-Mail
80.000,00 Euro
DSGVO – Verstoß: Unsachgemäße Entsorgung personenbezogener Daten
65.500,00 Euro
DSGVO – Verstoß: Betrieb eines Online-Shops mit veralteter, unsicherer Version von xt:Commerce
- Hamburger Verkehrsverbund GmbH
20.000,00 Euro
DSGVO – Verstoß: Verspätete Meldung einer Datenpanne
20.000,00 Euro
DSGVO – Verstoß: Hackerangriff, Verlust von Daten von 330.000 Nutzern wegen unzureichender Sicherheitsvorkehrungen
18.200,00 Euro
DSGVO – Verstoß: Auskunft an Betroffene mehrmals nicht erfüllt
- Unternehmen der Erwachsenenbildung
13.021,00 Euro
DSGVO – Verstoß: Fehlende Joint Controller Vereinbarung
12.000,00 Euro
DSGVO – Verstoß: Unerlaubte Videoüberwachung, fehlender AV-Vertrag, keine Benennung eines Datenschutzbeauftragten
10.000,00 Euro
DSGVO – Verstoß: Fehlende Benennung eines Datenschutzbeauftragten
7.638,00 Euro
DSGVO – Verstoß: Keine Datenschutzerklärung, unrechtmäßige Verwendung von Google Tools
1.200,00 Euro
DSGVO – Verstoß: Nichterteilung einer Auskunft
500,00 Euro
DSGVO – Verstoß: Versendung einer E-Mail an einen falschen Verteiler
- Beschäftigter eines Restaurants
250,00 Euro
DSGVO – Verstoß: Nutzung von Kontaktdaten (Corona-Kontaktverfolgung) zu privaten Zwecken
Den Rahmen für die Höhe von Bußgeldern gibt Art. 83 Abs. 4 und 5 DSGVO vor: Die Höchstgrenze beträgt für schwerwiegendere Datenschutzverstöße 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatz des Unternehmens, je nach dem, welches der höhere (!) Betrag ist. Innerhalb des breiten Spektrums von null bis zu eben jener Höchstgrenze soll eine angemessene Strafe festgelegt werden. Bei der Zumessung des Betrages sind nach Art. 83 Abs. 2 Satz 2 DSGVO folgende Kriterien zu berücksichtigen:
- Art, Schwere und Dauer des Verstoßes (insbesondere Art, Umfang, Zwecks der betreffenden Datenverarbeitung, Zahl der betroffenen Personen, Ausmaßes des Schadens);
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
- etwa ergriffene Maßnahmen zur Schadensminderung;
- Grad der Verantwortung (insbesondere technische und organisatorische Maßnahmen);
- etwaige frühere einschlägige Verstöße des Unternehmens;
- Zusammenarbeit mit der Aufsichtsbehörde;
- Kategorien der personenbezogenen Daten, die betroffen sind (je sensibler, desto schwerer wiegt der Verstoß);
- Art und Weise, wie der Aufsichtsbehörde der Verstoß bekannt wurde (z.B. Selbstanzeige oder Fremdanzeige);
- Einhaltung etwaiger vorher von der Behörde angeordneten Maßnahmen;
- Einhaltung genehmigter Verhaltensregeln oder Zertifizierungsverfahren;
- sonstige erschwerende oder mildernde Umstände (z.B. durch den Verstoß erlangte finanzielle Vorteile).
Einerseits gibt die DSGVO den Behörden also einen recht konkreten Bemessungskatalog an die Hand. Andererseits bleibt dennoch ein erheblicher Ermessensspielraum, weshalb manche Entscheidungen auf den ersten Blick willkürlich erscheinen, auch weil es allein in Deutschland 17 zuständige Aufsichtsbehörden gibt (eine für jedes Bundesland, Bayern hat sogar zwei). Die an den oben genannten Beispielen verdeutlichte Bandbreite der Beträge liegt angesichts der Vielzahl denkbarer Konstellationen und Fallgestaltungen auf der Hand. Um eine EU-weit einheitliche Bemessungspraxis herzustellen, hat der Europäische Datenschutzausschuss (EDSA) im letzten Jahr Guidelines veröffentlicht, welche eine praktische Methodik festlegen. Diese hier zu erläutern, würde den Rahmen sprengen.
